Социальная инженерия описывает способ, которым жертвами манипулируют, заставляя их делиться информацией, загружать вредоносные программы и отправлять деньги преступникам. В отличие от пакетов вредоносного ПО, человеческий мозг невозможно исправить — на базовом уровне все одинаково уязвимы для социальной инженерии. И хотя общественное восприятие социальной инженерии не сильно изменилось со времен мошенничества с нигерийским принцем, злоумышленники смогли извлечь выгоду из заоблачного уровня утечек данных, чтобы подвергнуть стресс-тестированию некоторые из самых гнусных и манипулятивных методов.
Как работает социальная инженерия?
Социальная инженерия может принимать различные формы, в зависимости от подхода злоумышленников. Для атак на организации выдавать себя за доверенный бренд или партнера — один из самых прибыльных способов. В 2019 году киберпреступники использовали программное обеспечение на базе искусственного интеллекта, чтобы имитировать голос руководителя.
Генеральному директору британской энергетической корпорации позвонил его начальник (по крайней мере, он так думал) с просьбой срочно перевести сумму в € 220,000 ($ 243,000) к венгерскому поставщику. Хотя это представляет собой редкий случай использования ИИ злоумышленниками, большинство социальных инженеров все еще осознают силу выдачи себя за доверенную организацию. В том же духе происходят нападения, направленные на имитацию правительственных и авторитетных деятелей. Доверие, предоставленное государственным учреждениям, предоставляет злоумышленникам плодотворную возможность для злоупотреблений: выдавая себя за Налоговое управление США, вы также можете дать атакам социальной инженерии ограниченное по времени или карательное преимущество, подталкивая жертв действовать без должного размышления.
Методы социальной инженерии в основном основаны на двух группах эмоций. Первое влечет за собой страх и срочность. За десятилетия эволюции киберпреступники отточили свои методы наведения страха. Например, неожиданное электронное письмо о том, что недавняя транзакция по кредитной карте не была одобрена, подвергает мозг более сильному стрессу, поскольку жертва предполагает, что ее карта была использована мошенническим путем. В этой панике они нажимают на соответствующую ссылку, вводят свои учетные данные на убедительной странице входа в банк только для того, чтобы быть перенаправленными на законную страницу. Тем не менее, жертва только что передала свои банковские учетные данные мошенникам. Хотя это выгодно для злоумышленников, финансы не являются единственным способом вызвать панику: владельцы небольших веб-сайтов и предприятий могут получить сообщение, в котором ложно утверждается, что изображение на их сайте нарушает закон об авторском праве, в результате чего они передают личную информацию – или даже деньги в виде штрафа. Некоторые атаки, основанные на срочности, даже используют видимость ограниченных по времени сделок, чтобы заставить жертв совершить сделку как можно скорее.
Другая форма атаки социальной инженерии апеллирует к жадности; Нападение нигерийского принца является традиционным примером этого. Здесь жертва получает электронное письмо от человека, утверждающего, что он является бегущим членом нигерийской королевской семьи. Отправителю нужен чей-то банковский счет, чтобы переслать свои миллионы, но сначала ему нужны банковские данные жертвы. Жертву, стремящуюся воспользоваться внесенными миллионами, можно убедить выслать относительно небольшой аванс или свои данные. В индустрии киберпреступности эта атака имеет давнюю историю, но в 2018 году она все еще приносила сотни тысяч долларов.
Типы атак социальной инженерии
Социальная инженерия охватывает широкий спектр моделей атак, каждая из которых использует свой собственный подход к манипулированию жертвами.
Фишинг-атаки
Фишинг включает в себя один из самых известных типов атак социальной инженерии. В результате этих атак жертва получает сообщения, целью которых является заставить ее поделиться конфиденциальной информацией или загрузить вредоносные файлы. Мошенники признают, что почтовый ящик является наиболее уязвимой областью каждой организации, а сообщения создаются с возрастающей легитимностью, имитируя известные организации, друзей получателя или заслуживающих доверия клиентов.
Существует пять основных форм фишинговой атаки; наиболее опасным из них является метод целевого фишинга. Эта тактика нацелена на конкретного человека – обычно на того, кому предоставлен привилегированный доступ к конфиденциальной информации и сетям. Злоумышленник проведет длительное расследование в отношении целевого лица, часто используя социальные сети для отслеживания его поведения и перемещений. Цель состоит в том, чтобы создать сообщение, которое правдоподобно было отправлено кем-то, кого цель знает и кому доверяет, или которое содержит ссылки на ситуации, с которыми цель знакома. Уэйлинг говорит о том, что этот процесс используется против высокопоставленных лиц, таких как генеральные директора. Целенаправленный фишинг можно усилить до практически безошибочного уровня с помощью компрометации деловой электронной почты (BEC), позволяющей отправлять вредоносные электронные письма с подлинной учетной записи электронной почты авторитетного лица.
Следующие два типа фишинга относятся к среде, через которую была установлена связь с жертвой. Хотя фишинг обычно напоминает электронные письмаЗлоумышленники более чем готовы использовать любую форму потенциального контакта с жертвами. Это может включать вишинг – например, вышеупомянутый обман с голосом генерального директора – и включение (кажущегося) человека на другом конце линии может еще больше вызвать у жертв чувство безотлагательности.
IBM опубликовала данные это показало, что включение вишинга в кампанию увеличивает ее шансы на успех до 300%. Смишинг, с другой стороны, видит, что злоумышленники используют текстовые сообщения для достижения той же цели.. Способы, которыми эти различные сообщения и электронные письма достигают своих жертв, столь же многогранны, как и сами злоумышленники: самой основной формой этого метода является массовый фишинг. Очень похожие электронные письма – обычно не по шаблону – рассылаются миллионам получателей одновременно. Массовые злоумышленники знают, что фишинг — это всего лишь игра с числами: отправьте их достаточному количеству людей, и в конечном итоге кто-то станет жертвой. Эти электронные письма являются максимально общими и кажутся исходящими от глобальных банков и крупных интернет-компаний. Распространенными темами являются фиктивные электронные письма о сбросе пароля и запросы обновлений кредитной политики. С другой стороны, фишинг поисковых систем пытается создать «органических» жертв; злоумышленники создают вредоносные веб-сайты, которые затем занимают достаточно высокие позиции в результатах поиска Google, и жертвы считают их законными. В социальных сетях фишеры-рыболовы отбирают жертв, маскируясь под официальные аккаунты доверенных компаний. Когда клиент свяжется с ними, эти фальшивые учетные записи воспользуются его запросами и проблемами, чтобы собрать его личную информацию и данные кредитной карты.
Выманивающие атаки
В то время как фишинг часто опирается на тактику экстренной срочности, атаки-приманки заставляют жертв действовать вопреки их интересам. В 2020 году ФБР выдается предупреждение организациям, базирующимся в США; Было обнаружено, что пресловутая группа киберпреступников FIN7 использовала вредоносные USB-накопители для доставки программ-вымогателей в несколько организаций. Эти USB-накопители были отправлены в качестве пакетов уведомлений по связям с общественностью и общественной безопасности; Было обнаружено, что один изъятый пакет имитирует Министерство здравоохранения США со ссылкой на рекомендации Covid-19, а другой пытался имитировать подарочный пакет Amazon, наполненный поддельными подарочными картами и вредоносным USB-накопителем.
Скрытые атаки
«Задняя дверь», или «совместное использование», проистекает из идей, касающихся физической безопасности периметра. Здесь злоумышленник внимательно следует за законным и уполномоченным лицом в область, содержащую ценные активы. Цифровая слежка — одна из простейших форм кибератак, во многом основанная на невнимательности сотрудников. Это может выглядеть так, как если бы сотрудник оставил свое устройство без присмотра, пока ходил в туалет в местной библиотеке. ФБР арестовало Росса Ульбрихта, владелец сайта по продаже наркотиков Silk Road, в 2013 году.
Претекстовые атаки
Атаки с использованием предтекста подразумевают, что злоумышленник создает для жертвы правдоподобную, но фальшивую ситуацию. Как только жертвы поверят лжи, они станут гораздо более манипулируемыми. Например, многие атаки с предлогом сосредоточены вокруг того, что жертва пострадала от нарушения безопасности, а затем предлагает решить проблему либо с помощью своей «ИТ-поддержки», получив удаленный контроль над устройством жертвы, либо путем передачи конфиденциальной информации об учетной записи. Технически, почти каждая попытка социальной инженерии будет включать в себя определенную степень предлога, благодаря ее способности делать жертву более податливой.
Атаки в обмен на услугу
В атаках quid pro quo используется метод травли – подвешивание желаемого товара или услуги перед лицом жертвы – но только после того, как жертва взамен выдаст личную информацию. Будь то фальшивый выигрыш в конкурсе или викторина «Какая ты принцесса Диснея», информация, передаваемая в результате этих атак, может способствовать более серьезным атакам в дальнейшем.
Атаки с использованием пугающих программ
Scareware – это любая форма вредоносного ПО, целью которого является запугать своих жертв и заставить их поделиться информацией или загрузить дополнительные вредоносные программы. Традиционным примером являются ложные сообщения службы технической поддержки, но новые атаки полностью используют чувство страха и стыда. Недавно с сайта по подбору персонала были украдены адреса электронной почты, и каждому из них были отправлены поддельные предложения о работе; нажатие на прикрепленный документ инициирует загрузку троянского вируса. Атака была нацелена конкретно на корпоративные адреса электронной почты, поскольку сотрудники, ставшие жертвами, не решались сообщить своим работодателям, что они заразились, когда искали альтернативную работу.
Атаки водопоя
Наконец, в результате атак с использованием водопоя злоумышленники нацелены на популярные легальные веб-страницы. Внедряя вредоносный код на сайты, часто посещаемые жертвами, злоумышленники могут косвенно ловить жертв с помощью посторонних загрузок и кражи учетных данных.
Как распознать атаки социальной инженерии
Атаки социальной инженерии столь успешны благодаря своей способности оставаться незамеченными как таковые. Таким образом, распознавание атаки – желательно до того, как она вас поймает – является ключевой частью предотвращения атак. Вот 6 основных признаков попытки атаки социальной инженерии:
Подозрительный отправитель
Один из самых простых способов выдать себя за законный бизнес — это подмена электронной почты. Здесь адрес злоумышленника будет почти идентичен адресу подлинной организации, но не совсем. Некоторые символы могут быть слегка изменены или полностью опущены; это может быть невероятно хитрым, например, переключение прописной буквы «I» на строчную букву «l».
Общие приветствия и подписи
В массовых фишинговых электронных письмах почти всегда используется общее приветствие, например «сэр» или «мэм». Однако подлинные маркетинговые материалы обычно начинаются с имени, поскольку доверенные организации обычно используют контактные данные, включенные в их базу данных. Эта форма контакта с доверенными организациями также будет распространяться на конец электронного письма, поскольку подпись отправителя часто включает контактную информацию. Сочетание общего приветствия и отсутствия контактной информации является явным признаком фишинга.
Поддельные гиперссылки и веб-сайты
Один из самых простых способов скомпрометировать устройство — через веб-сайт, загруженный вредоносным кодом. Благодаря форматированию гиперссылок современных устройств любой текст можно связать с любым URL-адресом. Хотя это можно проверить на ПК, наведя курсор на ссылку и оценив ее достоверность, пользователи мобильных устройств и планшетов более подвержены риску непреднамеренного перехода. Наплыв поддельных гиперссылок усугубляется тем, что злоумышленники могут точно имитировать законные веб-сайты, добавляя уровень правдоподобия атаке. Поддельный URL-адрес будет следовать той же схеме, что и поддельный адрес электронной почты: изменение написания или домена, например изменение .gov на .net, является одним из наиболее успешных методов.
Вторичные пункты назначения
Маркетинговые материалы и другие сообщения очень часто включают в себя прикрепленные документы. Злоумышленники используют это, направляя жертву на подлинный документ (или хостинг), который, в свою очередь, направляет жертву на вредоносную страницу. Этот метод обычно применяется против команд сотрудников, которые регулярно сотрудничают в работе. Если законный документ содержит ссылку на вредоносный файл, он не только вызывает больше доверия у жертв, но и обходит основные механизмы безопасности входящих сообщений.
Орфография и расположение
Самый очевидный признак фишинговых атак: плохая грамматика и орфография. Авторитетные организации почти всегда уделяют время проверке и корректировке корреспонденции клиентов. В то же время плохая грамматика, связанная с искусством социальной инженерии хакерских атак, действует как неотъемлемый механизм фильтрации. Злоумышленники не хотят тратить время на общение с подозрительными людьми: те, кто попадается на плохую грамматику и орфографию, достаточно уязвимы, чтобы стать легкой добычей.
Подозрительные вложения
Нежелательные электронные письма, в которых пользователю предлагается загрузить и открыть вложения, должны стать сигналом тревоги. В сочетании с тоном срочности важно перенаправить эту панику на чувство осторожности. В случаях компрометации деловой электронной почты даже невероятно короткие сообщения могут вызвать широко распространенное столпотворение: получение электронного письма от высокопоставленного руководителя, заявляющего: «Мне нужно распечатать этот документ и положить его на мой стол через 10 минут», может обмануть стажера и заставить его не заметить грамматическая ошибка из-за страха.
Как предотвратить атаки социальной инженерии
Хотя принято рассматривать фишинговые атаки как сугубо индивидуальную проблему, растет потребность рассматривать предотвращение социальной инженерии как коллективную работу. В конце концов, злоумышленники просто используют в качестве оружия естественные реакции пользователей на страх и панику. Защита организации – и ее пользователей – сводится к трем ключевым областям.
№1. Обучение по вопросам безопасности
Прежде всего: дать сотрудникам инструменты для самозащиты. Обучение по вопросам безопасности должно быть актуальным для пользователей, но при этом подчеркивать несколько односторонних правил. Сотрудники должны понимать, что нельзя нажимать на ссылки в электронных письмах и сообщениях. Вместо этого им нужно выработать привычку просто искать законную версию. Современные скорости интернета позволяют легко исправить эту проблему.
Гигиена паролей на данный момент является напоминанием, которое каждый сотрудник слышал тысячу раз. Учитывая, что каждый человек сейчас имеет десятки онлайн-аккаунтов, уникальные и сложные пароли по-настоящему возможны только с помощью менеджера паролей. Подобная поддержка сотрудников может во многом ограничить радиус успешных атак.
Наконец, сотрудники должны понимать, что каждый уязвим. Утечка личной информации через социальные сети — это то, что движет чрезвычайно успешной индустрией китового фишинга. Хотя полезно помнить, что школы, домашние животные и места рождения должны быть скрыты от внимания общественности, некоторым сотрудникам может быть проще задать контрольные вопросы, которые запоминаются, но технически не соответствуют действительности. Например, задав контрольный вопрос «где ты ходил в школу?» с «Хогвартсом» могло полностью отбросить любого любопытного нападавшего.
№2. Политики контроля доступа
Контроль доступа к каждой конечной точке является жизненно важной частью предотвращения социальной инженерии. От пользователя до процессов аутентификации должен быть жесткий контроль над тем, кто к чему имеет доступ. Конечным пользователям необходимо блокировать компьютеры и устройства всякий раз, когда они отходят от дома. Это следует усилить и автоматизировать с помощью коротких таймеров сна. Когда устройства используются в общественных местах, они должны всегда находиться в распоряжении сотрудников. Вся аутентификация должна быть усилена с помощью MFA. Это может полностью свести на нет угрозу BEC и кражи учетных данных.
В конечном счете, простая проверка личности с помощью отпечатка пальца или телефона может сыграть решающую роль между перехваченным поддельным электронным письмом и атакой BEC, которая наносит миллионы убытков.
№3. Технологии безопасности
Сотрудники должны быть полностью обеспечены комплексным набором технологий безопасности. Например, если фильтрация спама в почтовой программе по-прежнему пропускает подозрительные электронные письма во входящие, сторонние фильтры могут помочь отслеживать и предотвращать атаки социальной инженерии с помощью черного списка URL-адресов. Несмотря на то, что профилактика на основе почтовых ящиков важна, возможно, более важным является внедрение высококачественная безопасность браузера. В идеале это позволит бороться с руткитами, троянами и подделками, похищающими учетные данные, обеспечивая гораздо более глубокую защиту, чем частичное распознавание URL-адресов.
Решение LayerX
Расширение браузера LayerX, ориентированное на пользователя, предлагает единый комплексный подход к борьбе с атаками социальной инженерии. Сеансы браузера отслеживаются на уровне приложений, обеспечивая полную видимость всех событий просмотра. Каждая веб-страница может выйти за рамки процесса «заблокировать или запретить» благодаря углубленному анализу, позволяющему нейтрализовать угрозу в режиме реального времени. Таким образом, детальный контроль может предотвратить доставку полезной нагрузки даже при самых продвинутых атаках BEC. Вместо того, чтобы полагаться на поэтапный подход с использованием списков блокировки DNS, перспективный подход LayerX сочетает в себе передовую аналитику угроз с глубоким контролем на каждой конечной точке.